• romain
• 26 novembre 2023

Matinale cyber du 26 novembre 2023

La UNE

• Google ralentit intentionnellement les chargements de pages YouTube pour les utilisateurs de navigateurs qui utilisent un bloqueur de publicités.
• Le projet Tor supprime un millier de noeuds liés à des arnaques aux cryptomonnaies
• les suites de citrixbleed

WTF

Le nouveau système de TLP

La UNE de la semaine dernière

• L'organisme de normalisation européen à l'origine de la norme TETRA pour les communications radio utilisées par la police, l'armée et les infrastructures critiques a décidé de mettre ses sept algorithmes secrets à la disposition du public après que des chercheurs ont découvert des problèmes avec certains
• L'origine probable des piratages de boeing, ICBC, etc. par LockBit
• ALPHV BlackCat porte plainte auprès du SEC pour non divulgation d'un incident de sécurité contre MeridanLink, après l'avoir piraté
• Article : L'histoire des hackers derrière Mirai
• Insolite : Un groupe APT n°1 a exploité cette faille comme un "vrai" 0day. -Un groupe APT #2 a commencé l'exploitation après qu'un correctif ait été discrètement poussé sur GitHub. -Des groupes APT #3 & #4 ont commencé l'exploitation après la publication d'un avis mais avant le correctif officiel.
• Insolite : elle engage un faux hitman pour faire un meurtre et tombe sur le FBI

La UNE de la semaine dernière

Articles

• Article : Rapport de GitGuardian sur nos amis les développeurs !
• Article : Vous ne devriez pas faire tourner votre serveur de mail parce que c'est dur - Contrairement à ce que le titre pourrait faire croire, un plaidoyer par @PoolpOrg pour auto-héberger ses mails et éviter la mainmise des Big Techs
• Article très sympa sur les tendances de l'année dernière et les prédictions de l'année à venir

Outils :

• L'outil de Valery RieB-Marchive pour suivre les attaques de ransomwares et les négociations :
• Automatiser des actions dans Burp avec des "Bambdas"
• Les URLs des sites des groupes de ransomware (via funeralpolis sur Twitch)
• Une meilleur version de runas, codée en C# et open-source (via 4103x1 sur Twitch) :

La UNE de la semaine dernière

Write-Ups :

• WU : utiliser du Request Smuggling dans la vraie vie
• WU : une vuln dans Diablo 1
• WU : En utilisant un bit flip dans les handsh1kes SSH, on peut retrouver toute la clé secrète ! :

Géopolitique et menaces étatiques

• Un couple mis en examen en France pour l'affaire des crois de David taggées
• Hikvision a remporté un projet de "campus intelligent" en Chine qui "envoie automatiquement une alerte" aux étudiants issus de minorités ethniques "soupçonnés de jeûner pendant le ramadan" sur la base des "registres de repas de ces étudiants"
• Un journaliste allemand surnommé "le connaisseur de Poutine" était en fait payé par des proches du Kremlin
• Une carte pour tracer les activités des APTs dans le monde, attributions associés, samples, ressources externes, liens entre groupes...

Annonces

• 5 chefs d'hôpitaux canadiens appellent le gouvernement à passer une loi interdisant les paiements de rançon pour éviter de 'nourrir le monstre'.
• Le rapport de NewsGuard montre que des annonces de 86 gros annonceurs se sont retrouvées à côté de tweets véhiculant des fausses informations sur la guerre Israël-Hamas.
• Le gouvernement Australien propose aux PME un programme gratuit de vérification de la sécurité informatique et de formation des employés.
• CISA lance un programme pilote pour fournir des services de cybersécurité avancés à des organisations américaines des secteurs critiques.
• Lockbit a annoncé de nouvelles règles sur le négoce des rançons, avec un système tarifaire basé sur le revenu annuel des victimes.
• Le gang Play propose maintenant un modèle de rançonnage-en-service (RaaS).

Annonces- 2

• Atlassian a publié 22 mises à jour de sécurité.
• Le NCSC du Royaume-Uni offre des pièces de défi spéciales aux meilleurs chercheurs en sécurité qui ont signalé des vulnérabilités sur les sites gouvernementaux du Royaume-Uni.
• Le programme de récompense Microsoft Bug Bounty a remis plus de 63 millions de dollars à des chercheurs en sécurité au cours de la dernière décennie et le dernier programme, Microsoft Defender Bounty Program, offre des récompenses allant jusqu'à 20 000 $.
• Les vidéos de la conférence de sécurité BlueHat 2023 de octobre sont disponibles sur YouTube.
• Les vidéos des conférences de sécurité SAINTCON 2023 sont disponibles sur YouTube.
• 75 % des personnes qui ont signalé un comportement incorrect au travail ont fait l'objet de représailles, selon une récente enquête d'Engprax.

Attaques et piratages

• L'entreprise d'assurance Fidelity National Financial a été victime d'une attaque de ransomware AlphV et a dû fermer temporairement certains de ses systèmes informatiques.
• Attaque DDoS en cours de 28Mrps contre Blender, une application de conception 3D open source.
• Une attaque cyber a eu lieu mardi à Long Beach, Californie et n'a pas affecté les services publics.
• Le site de trading Kronos Research a été victime d'un piratage qui a conduit à la perte de près de 26 millions de dollars de crypto-actifs.
• Campagnes malveillantes qui poussent des mises à jour de navigateur faux infectés par le logiciel malveillant AMOS (Atomic Stealer).
• Les acteurs de la menace ont transformé l'application légitime NetSupport Manager en un RAT à distance, actuellement identifié sous le nom de NetSupport RAT.
• Campagne de minage de crypto-monnaie ciblant les systèmes Windows fonctionnant sur les serveurs Apache et une analyse approfondie du protocole C2 du malware XWorm.
• Le rappel de CitrixBleed encourage les propriétaires des appareils NetScaler et ADC à mettre à jour leurs logiciels et à effacer les sessions précédentes afin d'éviter que les acteurs de la menace ne volent des jetons d'authentification.

Arrestations

• Attaque de la chaîne de magasins de pièces détachées AutoZone par le groupe de cybercriminalité Clop, ayant eu pour conséquence le vol des données de presque 185 000 clients.
• Poloniex identifie présumément l'identité du hacker qui lui a volé 130 millions de dollars et lui offre une récompense blanche de 10 millions de dollars en échange des fonds volés.
• La gouvernement ukrainien a renvoyé deux officiels de cybersécurité impliqués dans une affaire de détournement de fonds à hauteur d'1,7 millions de dollars.
• Le Département de la justice des États-Unis a saisi près de 9 millions de dollars de cryptomonnaie Tether d’une organisation criminelle.
• Un ado de 19 ans a plaidé coupable de charges liées aux piratages en lien avec une attaque par credential-stuffing contre le site de paris sportifs DraftKings.
• Un hacker de Marriott arrêté par le FBI pour avoir volé des données d'invités et tenté de falsifier sa propre mort.

Arrestations- 2

• Le COO de Securolytics a plaidé coupable d'avoir piraté deux hôpitaux pour promouvoir ses services et doit payer $818,000 de restitution.
• Un hacker israélien a été condamné à 80 mois de prison pour son rôle dans l'organisation de campagnes de piratage à l'échelle mondiale.
• Un hacker néerlandais a aidé des cartels à la contrebande en piratant les systèmes de gestion des conteneurs des ports d'Anvers et Rotterdam.

Industrie

Articles

Vulnérabilités

• La firme de sécurité cloud Datadog publie son rapport annuel sur l'état de la sécurité cloud.
• Le botnet InfectedSlurs exploite deux zéro-jours non corrigés pour prendre le contrôle des périphériques IoT et lancer des attaques DDoS.
• Le botnet Kinsing exploite le serveur Apache ActiveMQ en utilisant la vulnérabilité CVE-2023-46604 récemment patchée pour installer leur bot de crypto-monnaie.
• Des chercheurs en sécurité ont réussi à contourner l'authentification biométrique Windows Hello sur des ordinateurs portables Dell Inspiron, Lenovo ThinkPad et Microsoft Surface Pro.
• InfStones a une vulnérabilité qui permet à un attaquant de prendre le contrôle des serveurs et d'extraire les clés privées des validateurs.
• Une vulnérabilité du plugin Wordpress UserPro a été découverte, qui permet aux attaquants de réinitialiser le mot de passe d'un compte administrateur.

Vulnérabilités- 2

• Une vulnérabilité activement exploitée dans les serveurs Apache ActiveMQ a été analysée par des chercheurs en sécurité.
• Quatre vulnérabilités dans la plateforme OpenCMS ont été corrigées à la fin du mois d'octobre.
• Mise à jour de sécurité de Kubernetes pour résoudre une escalation de privilèges sur les noeuds Container-Optimized OS et Ubuntu.
• Kubernetes publie une mise à jour de sécurité pour corriger une escalade de privilèges sur les nœuds Container-Optimized OS et Ubuntu.
• Une vulnérabilité DDoS a été découverte dans la solution de sécurité basée sur le cloud WithSecure Elements.
• Vulnérabilité de la plate-forme Havoc C2 permettant aux attaquants de provoquer des plantages des serveurs C2.
• Splunk a publié des mises à jour de sécurité pour corriger 7 vulnérabilités.

Hacking Web

Hacking Windows

Campagne et Exploitations

• Campagne de malvertising AlphV qui utilise des annonces Google malveillantes pour rediriger les utilisateurs vers des applications d'entreprise infectées par un logiciel malveillant.
• Campagne Konni récente ciblant des entités russes avec des documents Word malveillants.

Data Leaks

• Un ancien employé de NTT a volé et divulgué les données personnelles de 9 millions de clients.
• Fuite de données du gouvernement canadien dû à des cyberattaques sur ses fournisseurs, et prise de crédit par le gang LockBit.
• Fuite de données affectant plus de 2,3 millions d'Américains chez Postmeds, la société derrière le service d’ordonnancement de pharmacie Truepill.
• Des secrets Kubernetes exposés sur le web pour des centaines d'organisations et de projets open source.

Géopolitique

• Outils anti-censure du GFW enlevés de GitHub suite à l'obligation des développeurs chinois de partager leurs noms réels.
• Plusieurs grandes entreprises ont retiré leurs publicités de Twitter suite à la promotion de théories conspirationnistes antisémites.
• Le rapport financier du Projet Tor pour l'année 2021-2022 montre que le gouvernement américain est encore son principal donateur.
• La stratégie de cybersécurité australienne pour 2023-2030 prévoit un effort gouvernemental pour améliorer la posture de cybersécurité du pays, notamment un rapport sans faute et sans responsabilité sur les rançongiciels et une aide aux nations insulaires du Pacifique.
• Le département de la Défense US publie sa stratégie d'opérations d'information et l'US Air Force annonce qu'ils consacreront plus de temps à former ses hommes à la guerre d'information.
• L'accord de défense entre les États-Unis et l'Indonésie porte sur la cybersécurité et les capacités spatiales.

Géopolitique- 2

• Le gouvernement russe a autorisé Roskomnadzor à bloquer l'accès aux sites donnant des instructions sur l'utilisation d'un VPN.
• Campagne de désinformation russe impliquant des comptes contrôlés par le Kremlin et des faux récits en différentes langues.

Threat Intel

• Le ransomware Phobos RaaS se fait passer pour le groupe de partage d'informations sur les menaces vx-underground.
• Cybereason a publié une alerte sur une nouvelle opération de ransomware INC apparue en août 2020.
• Check Point a comparé les scènes de ransomware Linux et Windows et la manière dont les gangs/strains de ransomware fonctionnent sur chaque plateforme.
• Les gangs de cybercriminalité utilisent des SMS, Telegram et WhatsApp pour inciter les victimes à installer des applications Android malveillantes contenant des RAT.
• Analyse détaillée du marché sombre Hydra, le plus grand marché du dark web observé jusqu'à présent.
• Framework ParaSiteSnatcher utilisé par des cybercriminels pour créer des extensions Chrome malveillantes visant les utilisateurs brésiliens.
• Analyse approfondie de la plateforme de RaaS Phobos et des groupes affiliés par Cisco Talos, dont un groupe de chantage connu sous le nom de 8Base.
• Une attaque de la chaîne d'approvisionnement orchestrée par un groupe de hackers nord-coréen a été détectée, ayant ciblé CyberLink, une entreprise taïwanaise de développement de produits multimédia.
• Campagne de spear-phishing Kimsuky en cours qui s'attaque aux organisations gouvernementales et de médias.

Menaces

• Groupe hacktiviste Pro-Ukrainien a piraté et publié des données d'un pilote de l'avionneur russe sanctionné Aviacon Zitotrans, révélant des transports secrets d'armes et de marchandises sanctionnées entre la Russie et l'Iran, l'Afrique du Sud et le Mali.
• Europol a mis en place une force spéciale OSINT pour soutenir les enquêtes sur les crimes de guerre commis pendant la guerre russo-ukrainienne.
• Un média contrôlé par le régime a dévoilé l'identité réelle de Killmilk, le leader du groupe de hacktivistes pro-Kremlin Killnet, confirmé par des sources de la police russe.
• Le rapport de menace Huntress Labs de Q3 révèle l'augmentation de l'utilisation abusive de logiciels de monitoring et de gestion à distance (RMM) par des acteurs menaçants dans les activités post-intrusion.
• L'outil de surveillance Patternz de l'entreprise ISA Security, qui fournit des données sur cinq milliards d'individus, est en vente et pose un risque pour les gouvernements, services de renseignement et militaires de l'UE et des États-Unis.
• Une analyse réalisée par Censys a révélé les adresses IP de 22 serveurs de commande et de contrôle utilisés par l'infostealeur Vidar.

Menaces- 2

• Le groupe NoEscape utilise des attaques DDoS pour pressionner ses victimes.
• Le groupe de piratage nord-coréen Andariel cible des organisations sud-coréennes via un logiciel de gestion des actifs, en exploitant des vulnérabilités et en déployant des malwares.
• Campagnes social engineering de Corée du Nord en cours, appelées Contagious Interview et Wagemole.
• Opérations SideCopy récentes qui utilisent AllaKore RAT pour l'accès à distance.

Malwares

• Trend Micro examine une infection récente avec le malware Lu0bot.
• Analyse de Ian French du malware IPStorm, dont le botnet a été mis hors ligne par les autorités américaines cette année.
• Le rapport DarkGate de Trellix montre l'évolution du chargeur DarkGate qui pourrait remplacer QakBot dans la plupart des opérateurs malveillants.
• IBM X-Force a publié une analyse sur WailingCrab, un chargement de logiciels malveillants également connu sous le nom de WikiLoader.
• MetaStealer est un malware qui a été publié en mars 2022, inspiré de Redline Stealer et différent du MetaStealer découvert par SentinelOne qui cible MacOS.
• Une nouvelle variante de l'infostealer Agent Tesla a été aperçue dans la nature.
• SolarMarker est un infostealeur .NET connu sous le nom de Jupyter analysé par les chercheurs de eSentire.
• La version du LummaC2 Stealer détecte les environnements sandbox grâce à l'enregistrement des positions du curseur et à des fonctions trigonométriques.
• Les chercheurs Sekoia ont publié une analyse du chargeur DarkGate, annoncé comme un remplacement pour le malware QakBot désormais interrompu par le FBI cette année.
• SharpLoader, une nouvelle version du malware qui distribue des versions du QasarRAT.
• ThreatMon a publié un rapport sur le nouvel infostealer Serpent, également connu sous le nom de Serpent Stealer.
• Acronis publie une analyse approfondie de QazLocker, un nouveau ransomware actif.
• Analyse du ransomware Rhysida par des chercheurs de Fortinet, signalé par CISA et le FBI.

Outils

• Mozilla a publié la version 120 de Firefox, offrant des fonctionnalités supplémentaires et des correctifs de sécurité, y compris la possibilité de copier des URL sans paramètres de suivi du site et un test limité pour bloquer automatiquement les bannières des cookies.
• La version 14.0 du système d'exploitation FreeBSD est disponible.
• Le support de l'iPhone pour le nouveau standard de messagerie RCS sera disponible l'année prochaine.
• Google a relancé ses plans de démantèlement de Manifest V2, l'API sur laquelle sont basées la plupart des extensions Chrome, et les développeurs d'extensions devraient envisager de porteur leur code sur la nouvelle API Manifest V3.
• Le NCSC du Royaume-Uni a proposé un format standardisé pour les Indicateurs de Compromission (IoC) à la IETF afin d'améliorer l'interopérabilité entre les différents fournisseurs.
• CISA a publié un guide de sécurité pour les organisations des secteurs de la santé et de la santé publique.
• GreyNoise permet de faciliter la recherche de vulnérabilités exploitées grâce à des tags KEV.

Outils- 2

• Thirteen packages malveillants npm ont été découverts la semaine dernière.
• Akamai a publié une analyse technique du WSO-NG, une famille de web shells très répandue depuis 14 ans.
• Les alertes mensuelles de sécurité de Fortinet ne sont pas signées DMARC et sont envoyées dans les dossiers de spam.
• Un outil .NETConfigLoader a été publié pour aider à contrer les EDR/AV.
• Mand Consulting Group a publié un nouvel outil open source nommé Porch Pirate pour trouver des secrets publiés sur la plateforme de développement Postman.

Data Sécu

• Rétractation de l'application de messagerie instantanée Nothing Chats de Google Play Store en raison de graves problèmes de confidentialité.
• Plus de 250 organisations participent à l'exercice biennal GridEx VII, visant à assurer la sécurité du réseau électrique des États-Unis et du Canada.
• La FTC enquête sur Twitter pour avoir diffusé des publicités non étiquetées sur sa plateforme.

APTs

• La trace du logiciel espion Pegasus a été trouvée sur les smartphones de deux membres de la société civile serbe.
• Kaspersky a trouvé une nouvelle web shell nommée HrServ installée secrètement sur des serveurs Microsoft Exchange piratés à travers le monde, et qui pourrait être l'œuvre d'un groupe APT.
• Groupe APT chinois Stately Taurus a lancé une campagne d'espionnage étendue contre le gouvernement philippin.
• QiAnXin a publié un rapport sur une opération APT Rattlesnake (Sidewinder) ciblant les pays d'Asie du Sud avec une porte dérobée basée sur Nim.
• Groupe APT russe Gamaredon effectuant une importante collecte d'intelligence en Ukraine avec un nouveau ver USB nommé LitterDrifter.

Des échanges de cryptoactifs piratés ?

• Une plateforme de cryptomonnaies a subi une attaque de type hameçonnage et a perdu 9 millions de dollars de crypto-actifs.